Hi,

so mich interessiert noch was:

Lade SystemLook von einem der folgenden Links und speichere das Tool auf dem Desktop.
http://jpshortstuff.247fixes.com/SystemLook.exe - http://images.malwareremoval.com/jps...SystemLook.exe

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.

• Vista-User mit Rechtsklick und als Administrator starten.

• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code: Alles auswählenAufklappen

ATTFilter

:regfind
wcmrojpd
lxqndpd
         

• Klicke nun auf den Button Look, um den Scan zu starten.

Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Jetzt offline gehen, Threadfire ausschalten (alles andere am Besten auch, Avira etc.) und dann folgenden Fix abfahren:

Fix für OTL:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O32 - AutoRun File - [2010.10.10 02:48:46 | 000,000,000 | R--D | M] - C:\autorun.inf -- [ FAT32 ]

:Commands
[emptytemp]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Dann sollte der Eintrag zu dem auotrunfile weg sein...

chris

hallo chris, danke
gruss
tim

SystemLook 04.09.10 by jpshortstuff
Log created at 23:25 on 11/10/2010 by bill gates
(Limited User)

========== regfind ==========

Searching for "wcmrojpd"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"="6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi WmdmPmSp winmgmt wscsvc xmlprov napagent hkmsvc BITS wuauserv ShellHWDetection helpsvc WmdmPmSN wcmrojpd lxqndpd"

Searching for "lxqndpd"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"="6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi WmdmPmSp winmgmt wscsvc xmlprov napagent hkmsvc BITS wuauserv ShellHWDetection helpsvc WmdmPmSN wcmrojpd lxqndpd"

-= EOF =-

hi chris,
das klingt nach viel error...otl spuckt auch nach 1 sec ein log aus..
aber ich versteh das ja leider nicht..
danke, bis dann
tim


Error: Unable to interpret <SystemLook 04.09.10 by jpshortstuff> in the current context!
Error: Unable to interpret <Log created at 23:25 on 11/10/2010 by bill gates> in the current context!
Error: Unable to interpret < (Limited User)> in the current context!
Error: Unable to interpret <========== regfind ==========> in the current context!
Error: Unable to interpret <Searching for "wcmrojpd"> in the current context!
Error: Unable to interpret <[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]> in the current context!
Error: Unable to interpret <"netsvcs"="6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi WmdmPmSp winmgmt wscsvc xmlprov napagent hkmsvc BITS wuauserv ShellHWDetection helpsvc WmdmPmSN wcmrojpd lxqndpd"> in the current context!
Error: Unable to interpret <Searching for "lxqndpd"> in the current context!
Error: Unable to interpret <[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]> in the current context!
Error: Unable to interpret <"netsvcs"="6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi WmdmPmSp winmgmt wscsvc xmlprov napagent hkmsvc BITS wuauserv ShellHWDetection helpsvc WmdmPmSN wcmrojpd lxqndpd"> in the current context!
Error: Unable to interpret <-= EOF =-> in the current context!

OTL by OldTimer - Version 3.2.14.1 log created on 10112010_233051

Hi,

chrrr, Du hast das kopierte "Systemlook-File" OTL als Script verfüttert, und der hat sich arg gewundert was er damit machen soll..

Ist aber Okay, das autorun-file ist vom immunisieren...

Dann wäre wir erstmal durch...

Wie verhält sich der Rechner?

chris

hallo chris,
entschuldige bitte dieses Versehen (systemlook.txt ins OTL), war schon etwas später nachts und ich war wohl nicht mehr allzu leistungsfähig...hoffe ich habe damit nichts geschrottet.
Um auf deine Frage zu antworten, muss ich sagen, dass sich mein Rechner aktuell überaus gut verhält, hacked by ist aus der Titelleiste verschwunden, Firefox habe ich installiert und komme damit zu Recht.
Nach dem installieren dieser Systemwiederherstellungskonsole werde ich jetzt natürlich anfangs immer gefragt, welchen Modus Ich wählen möchte, um den Computer zu starten, ist etwas nervig, da ich ja natürlich standartmässig immer in das XP Betriebssystem will.
Meine Administrationsrechte habe Ich auf ein neues Nutzerkonto gepackt, mit dem ich nicht surfen gehe...
Da ich advanced system care installiert habe, dieses aber nur mit vollen Administrationsrechten gestartet werden kann, und sich automatisch startet, meckert der computer jetzt anfangs, dass ich nicht über die nötigen Rechte verfüge, um advanced system care zu starten(kann ich das einstellen, dass es sich nicht automatisch startet?)..
Ansonsten, wie gesagt, es scheint zu laufen!!hätte ich ohne euer Forum nie so hingekriegt!!
Ich hoffe, dass wir den Virus oder besser gesagt die Viren alle gemacht haben, UND SAGE VIELEN DANK!!!FÜR DIE SCHNELLEN ANTWORTEN!UND DIE KOMPETENTE HILFE!!!!
habe noch ein paar dinge für meine Gewissensberühigung
-kann ich den kontrollieren, ob meine externen Geräte jetzt clean sind, habe ja alle mit dem Flash Disinfector behandelt und dann dein script befolgt...?
-Kann ich den Flash Disinfector benutzen, um in Zukunft externe Geräte kurz sauber zu machen?Oder gibt es da bessere Methoden?
-SIND VIREN AUF MEINER APPLE_PARTITION, ODER LAUFEN DIE VON UNS ENTFERNTEN DA GAR NCIHT?SOLLTE ICH IN SACHEN VIRENSCHUTZ AUCH WAS AUF DER APPLE-PARTITION MACHEN; UND WENN JA WAS?
- Und was meinst du , mit Avira meckert jetzt standartmässig über die autorun.inf

ALSO CHRIS HERZLICHEN DANK!WÜRDE DIR GERNE NEN STERN VERLEIHEN UND EIN POSITIVES VOTUM ABSETZEN!

cheers TiM
falls du jemals in berlin weilst, kann ich die virtuellen biere gerne realisieren..

Hi,

Systemcar sollte sich via Einstellung so konfigurieren lassen, dass es nicht mit Windows startet.

Du kannst externe Geräte überprüfen, indem Du sie mit gedrückter SHIFT-Taste an den Rechner anschließt. Solange die Taste gedrückt halten, bis der Rechner das Gerät erkannt hat. Dabei wird der autorun-Modus unterdrückt, etwaige autorun-viren nicht ausgeführt.
Den Flasdesinfector kannst Du auch weiterhin nutzen, er legt halt nicht (so einfach) überschreibbare inf-dateien an.
Windows-Viren sollte sich eigentlich nicht auf der Mac-Partition aufhalten, inwieweit das für den MBR gilt kann ich Dir nicht sagen.
Zur Avira-Warnung bei autorun/start:
Autostart-Funktion blockieren/zulassen - AntiVir Premium und Avira Premium Security Suite - Avira Support Forum

chris